Documentation Alert Central

Comment fonctionne Alert Central ?

Alert Central est basé sur la Chronologie dmarcian. Comme pour la Chronologie, vous choisissez les changements à suivre, et vos alertes configurées vous assurent d'être informé des changements dès que nous les détectons. Lorsque nous détectons un changement DNS qui correspond à une alerte que vous avez configurée, nous vous en informerons via le canal configuré.

Pourquoi mettre en place des alertes DMARC ?

Les notifications sont bénéfiques à toutes les phases de déploiement. Pendant les étapes initiales de votre projet DMARC, vous voudrez peut-être suivre tous les changements que vous effectuez activement ; une fois que vous avez sécurisé vos domaines avec une politique d'application DMARC, Alert Central aidera à opérationnaliser DMARC en concentrant les alertes sur les enregistrements défectueux et les abus de domaine potentiels. Quel que soit le type d'alerte, il est important de détecter rapidement les changements et de prendre les mesures correctives nécessaires.

Alertes DMARC par défaut

Les utilisateurs expérimentés disposeront d'alertes par défaut dans leur compte, notamment les alertes SPF, les alertes SPF invalides, les alertes SPF disparues et les alertes DMARC toutes modifiées. Toutes ces alertes par défaut sont activées, à l'exception des avertissements SPF, qui sont désactivés par défaut car certains utilisateurs peuvent trouver cette alerte trop fréquente ou trop envahissante.

Fréquence des alertes

Nous surveillons vos domaines DNS pour vous ; DMARC est surveillé toutes les heures, et SPF et DKIM sont surveillés quotidiennement.

Comment configurer Alert Central

Pour configurer vos alertes, accédez à l'élément Alert Central situé dans le menu déroulant de votre DMARC Manager et suivez ces étapes :

• Cliquez sur le bouton AJOUTER UNE ALERTE, ce qui vous amène à la fenêtre modale illustrée ci-dessous.
• Le nom d'alerte que vous fournissez doit être unique, car c'est celui qui sera utilisé dans la notification et permettra aux utilisateurs de distinguer facilement quelle alerte a été déclenchée.
• Les domaines disponibles pour les alertes sont ceux que vous voyez sur votre page Aperçu des domaines. Les utilisateurs Plus et Enterprise peuvent choisir un groupe de domaines qui associe l'alerte au groupe de domaines, quels que soient les domaines que vous ajoutez ou supprimez de ce groupe.
• Ajouter des destinataires et configurer des canaux. Les destinataires, les URL Slack et les URL de webhook peuvent être ajoutés lors de la création de l'alerte ou vous pouvez cliquer sur le bouton Configurer les canaux sur la page Centrale d'alerte pour les gérer. Les non-administrateurs ne peuvent pas ajouter de canaux lorsqu'ils choisissent des destinataires, mais ils peuvent choisir n'importe quel destinataire ou canal que les administrateurs ont configuré.
• Une fois les champs du formulaire remplis, cliquez sur Créer une alerte et le tour est joué !
• Pour modifier ou supprimer une alerte, accédez à la page principale d'Alert Central et suivez les icônes de modification ou de suppression.

Configuration des canaux d'alerte – Administrateurs uniquement

• Seuls les administrateurs peuvent voir cette page de configuration des canaux.
• La page Paramètres du canal d'alerte est l'endroit où les administrateurs gèrent la liste de tous les destinataires possibles des alertes, y compris les destinataires des courriels, les canaux Slack et les urls des webhooks.
• Seuls les destinataires et les canaux configurés par les administrateurs dans les paramètres des canaux d'alerte seront disponibles pour les utilisateurs non administrateurs lorsqu'ils créeront une alerte.
• Les administrateurs doivent ajouter leur adresse électronique ici afin que les non-administrateurs puissent choisir de leur envoyer l'alerte.
• Si les administrateurs ne créent pas de destinataires ou de canaux, les non-administrateurs ne pourront que créer une alerte et se l'envoyer à eux-mêmes.

Dans l'exemple ci-dessous, les non-administrateurs pourront créer une alerte et choisir parmi 3 adresses électroniques ou un canal Slack. Ils ne pourront pas ajouter de destinataires ou de canaux slack supplémentaires.

L'image ci-dessous illustre la page de détails d'Alert Central. Pour modifier ou supprimer une alerte, accédez à la page principale d'Alert Central et utilisez les icônes de modification ou de suppression.

Annexe A : Événements et déclencheurs d'Alert Central

Remarque : Les abonnements de base ne comprennent que les événements Invalide et Avertissements.

Type d'événement : DKIM

Déclencheurs DKIM :

• Toutes les modifications → les utilisateurs sont alertés de TOUTE modification des enregistrements DKIM actuels dans le DNS pour les sélecteurs que nous connaissons via les rapports RUA.
• Découvert ou créé → les utilisateurs seront alertés la première fois que nous découvrirons un nouveau sélecteur DKIM à partir des données DMARC RUA. Cela ne correspond pas nécessairement au moment où l'enregistrement DKIM a été saisi dans le DNS.
• Invalide
• Disparu
• Avertissements
• Longueur de la clé publique modifiée
• Clé publique révoquée
• Type de clé publique modifié
• Algorithme de hachage modifié
• Drapeaux modifiés

Type d'événement : DMARC

Déclencheurs DMARC :

• Toutes les modifications
• Enregistrements découverts ou créés
• Enregistrements invalides
• Enregistrements disparus
• Politique modifiée
• Politique définie sur reject
• Modification de la valeur du tag de quarantaine (%)
• Mode(s) d'alignement SPF ou DKIM modifié(s)
• Rapport agrégé RUA modifié
• Options forensiques modifiées
• Rapport forensique RUF invalide
• Avertissements

Type d'événement : Start of Authority (SOA)

SOA has the email address of the administrator, when the domain was last updated, and how long the server should wait between refreshes. SOA will show invalid currently when we see >1 SOA records and it becomes valid when <=1 SOA records.

Déclencheurs SOA :

• Valide
• Invalide

Type d'événement : SPF

Déclencheurs SPF :

• Toutes les modifications
• Découvert ou créé
• Disparu
• Invalide
• Avertissements
• Mécanisme « All » modifié
• Adresses IP/réseau modifié(e)s

Déclencheurs de volume → chacun des déclencheurs de volume nécessite que l'utilisateur configure une condition de pourcentage (à l'exception des déclencheurs "domaine parqué envoie")

• Le domaine parqué envoie → aucune condition requise
• Pic d'entités compatibles DMARC au cours des dernières 24 heures
• Pic de forwarders au cours des dernières 24 heures
• Augmentation du nombre de sources incapables au cours des dernières 24 heures
• Pic de menaces/inconnus au cours des dernières 24 heures
• Pourcentage de menaces/inconnus parmi les entités compatibles DMARC au cours des dernières 24 heures

Annexe B : Exemples de charge utile d'alerte Webhook

Les webhooks sont l'un des moyens par lesquels les applications web peuvent communiquer entre elles. Ils vous permettent d'envoyer des données en temps réel de notre application vers une autre chaque fois qu'un événement donné se produit.

Exemple d'enregistrement modifié :

Exemple de modification d'une propriété d'enregistrement spécifique :

Exemple de modification d'une liste d'enregistrements spécifique :

Exemple : un enregistrement spécifique comporte des avertissements :

Exemple : un enregistrement spécifique est devenu invalide :

Exemple : un enregistrement spécifique est devenu valide (RÉSOLUTION) :

Exemple de volume :

Exemple de volume pour le pourcentage de menaces/inconnus des entités compatibles DMARC :

Nous sommes là pour aider les utilisateurs à comprendre et à déployer DMARC. N'hésitez donc pas à nous contacter si vous avez des questions sur notre plateforme ou Alert Central.